Dentro de la revista de Hack in the Box Magazine #10 - de la que hablamos hace poco por aquí sobre el artículo de cazar rootkits de Mac OS X en memoria - hay otro interesante artículo que merece la pena destacar. En este caso es sobre iNalyzer, un framework para analizar apps de iOS de forma cómoda y eficiente. La idea de iNalyzer es conectar el un equipo con el terminal iOS para poder ejecutar las aplicaciones de auditoría a las que están acostumbrados los pentesters, como pueden ser Burp Intruder, los editores de todos los formatos o las herramientas de debuging en tiempo real.
El artículo se encuentra al final de la revista, pero se basa en una presentación que se hizo en OWASP 2012 en Israel por la empresa AppSec, que puede ser descargada desde aquí. El framework de iNalyzer necesita una app que puede ser descargada desde Cydia gratuitamente, por lo que necesariamente se necesita contar con un terminal con Jailbreak para correr este entorno de auditoría.
En el siguiente vídeo se puede ver una pequeña demostración de como iNalyzer se utilizar para saltarse en tiempo real la pantalla de Login de iSafePlay, haciendo un bypassing de la autenticación en tiempo real.
Figura 2: Con iNalyzer haciendo un bypass de login a iSafePlay
Si te dedicas o quieres dedicarte a analizar la seguridad de apps de iOS, debes echarle un vistazo sin duda, pues ofrece utilidades que tal vez puedan ayudarte o completar el arsenal de ellas que ya tengas.
No hay comentarios:
Publicar un comentario